Ο αριθμός των ευπαθειών που αποκαλύπτονται από μεγάλες τεχνολογικές εταιρείες φαίνεται να επιστρέφει στα φυσιολογικά επίπεδα μετά από ένα χαμηλότερο από το συνηθισμένο ποσοστό να παρατηρείται κατά το πρώτο τρίμηνο του 2020, στα πλαίσια της πανδημίας του COVID-19. Αναλυτές της VulnDB Security Risk εξέφρασαν την αντίθεσή τους στην τάση των εταιρειών να κοινοποιούν όλες τις πιο πρόσφατες ευπάθειές τους την ίδια ημέρα, αποκαλώντας αυτή την τάση “φαινόμενο Fujiwhara”. Από τις 11.121 ευπάθειες που δημοσιοποιήθηκαν στα μέσα του 2020, 818 αποκαλύφθηκαν μέσα σε λίγες μέρες. Επιπλέον, δημοσιεύθηκαν 312 ευπάθειες στις 14 Ιανουαρίου, 508 στις 14 Απριλίου και 263 στις 9 Ιουνίου, ενώ υπήρξαν τέσσερις ακόμη μέρες φέτος, κατά τις οποίες δημοσιεύτηκαν τουλάχιστον 187 ευπάθειες.
Η αποκάλυψη μεγάλου αριθμού ευπαθειών σε μικρό χρονικό διάστημα ασκεί, όπως είναι λογικό, μεγάλη πίεση τόσο στο προσωπικό IT όσο και στους διαχειριστές ευπαθειών. Ο Brian Martin, VP της Risk Based Security, ανέφερε ότι κατά τη διάρκεια του Fujiwhara event του Απριλίου, αποκαλύφθηκαν 508 νέες ευπάθειες, από τις οποίες το 79% προερχόταν από επτά προμηθευτές. Ο Martin τόνισε πως αυτό είναι κάτι που αναμένεται να συμβαίνει συχνότερα στο μέλλον, ενώ παράλληλα έθεσε το ζήτημα σχετικά με το ποιος επωφελείται από αυτή την all-at-once αποκάλυψη ευπαθειών στην οποία προβαίνουν οι εταιρείες. Σίγουρα πάντως δεν επωφελούνται οι πελάτες που πληρώνουν.
Κατά το πρώτο εξάμηνο του 2020 αποκαλύφθηκαν 11.000 ευπάθειες. Αν και ο αριθμός αυτός μπορεί να μοιάζει υψηλός, στην πραγματικότητα οι ευπάθειες μειώθηκαν κατά 8,2%, σε σύγκριση με την αντίστοιχη περίοδο του 2019. Ωστόσο, το δεύτερο τρίμηνο του έτους έδειξε ότι τα πράγματα επιστρέφουν σταδιακά στα φυσιολογικά τους επίπεδα, μετά το ξέσπασμα της πανδημίας του COVID-19.
Ερευνητές τόνισαν ότι μια από τις πιο ανησυχητικές τάσεις είναι η έλλειψη αναγνωριστικών CVE. Από τις ευπάθειες που αποκαλύφθηκαν κατά το πρώτο εξάμηνο του 2020, το 30% δεν είχε αναγνωριστικό CVE, ενώ για το 3% των ευπαθειών που εντοπίστηκαν δεν υπάρχουν διαθέσιμες πληροφορίες.
Μια έκθεση επικεντρώνεται κυρίως στο “φαινόμενο Fujiwhara” καθώς και στις εταιρείες που αποκαλύπτουν τον υψηλότερο αριθμό ευπαθειών. Σύμφωνα με την έκθεση, υπήρξαν τρεις ημέρες το 2020 (14 Ιανουαρίου, 14 Απριλίου και 14 Ιουλίου) που αποτέλεσαν ένα σημαντικό γεγονός για τους επαγγελματίες IT. Αυτά τα Fujiwhara events είναι συνήθως σπάνια, αλλά το 2020 σημειώθηκαν τρία: 14 Ιανουαρίου, 14 Απριλίου και 14 Ιουλίου. Τα δύο τελευταία που παρατηρήθηκαν πριν από το 2020 συνέβησαν το 2015, ενώ τα επόμενα δύο θα εμφανιστούν το 2025 – ξεκινώντας από τις 14 Ιανουαρίου. Αυτό δείχνει την σπανιότητα των εν λόγω events, αλλά και τον λόγο που αυτά ξεχωρίζουν, καθώς συνεπάγονται περισσότερο άγχος και μεγαλύτερους κινδύνους για τους οργανισμούς.
Επιπλέον, η έκθεση επεσήμανε πως το single Fujiwhara event του 2015 είδε συνολικά 277 γνωστές ευπάθειες από όλες τις αναφορές εκείνη την ημέρα, λιγότερο από το μισό αυτών που αποκαλύφθηκαν κατά το Fujiwhara event του Απριλίου φέτος. Κατά τη διάρκεια του Fujiwhara event του Απριλίου αποκαλύφθηκαν 506 νέες ευπάθειες, το 79% εκ των οποίων προήλθε από επτά προμηθευτές. Σε σύγκριση με άλλα Patch Tuesday φέτος, το υψηλότερο ανέφερε “μόνο” 273 νέες ευπάθειες στις 9 Ιουνίου. Οι ερευνητές σημείωσαν επίσης τον παραλογισμό των πωλητών να δημιουργούν ευάλωτο software που θέτει τους πελάτες που πληρώνουν σε κίνδυνο.
Οι ομάδες IT και οι διαχειριστές ευπαθειών προσπαθούν να εξετάσουν και να αξιολογήσουν τον τεράστιο όγκο των ευπαθειών που αποκαλύπτονται σε μια μέρα. Εκατοντάδες ευπάθειες αποκαλύπτονται σε σύντομο χρονικό διάστημα, με το μεγαλύτερο μέρος να προέρχεται από τεχνολογικούς γίγαντες όπως η Microsoft και η Adobe, επηρεάζοντας έτσι ευρέως χρησιμοποιούμενα προϊόντα.
Το χειρότερο μέσα σε όλο αυτό είναι ότι η CVE αποστολή παρέμεινε στάσιμη, πράγμα που σημαίνει ότι οι οργανισμοί που εξαρτώνται από το CVE / NVD για πληροφορίες σχετικά με ευπάθειες, δεν λαμβάνουν την απαραίτητη βοήθεια για τον εντοπισμό και την ιεράρχηση των ευπαθειών που έχουν χαρακτηριστεί “κρίσιμες”. Το 2020 έχει δείξει, μεταξύ άλλων, ότι οι οργανισμοί χρειάζονται μια ολοκληρωμένη στρατηγική για την αντιμετώπιση ευπαθειών.
Η Microsoft ήταν μια από τις πρώτες εταιρείες που διοργάνωσαν “Patch Tuesday” events, αλλά τελικά η Adobe άρχισε να συμμετέχει σε αυτά το 2012, ενώ άλλες εταιρείες όπως η SAP, η Siemens και η Schneider Electric, αποφάσισαν επίσης να συμμετάσχουν. Η Apple, η Mozilla, η Intel, η Cisco και άλλοι τεχνολογικοί κολοσσοί έχουν επίσης αρχίσει να αποκαλύπτουν τρωτά σημεία την ίδια ημέρα, σε μία προσπάθεια να καταστήσουν αυτή τη διαδικασία πιο εύκολη και λιγότερο αμήχανη.
Η σοβαρότητα του προβλήματος αποδεικνύεται από το γεγονός ότι μέσα σε δύο μέρες αποκαλύφθηκαν από εταιρείες 818 ευπάθειες, ένας αριθμός που αντιπροσωπεύει το 7,3% των συνολικών αποκαλύψεων ευπαθειών στα μέσα του έτους. Εάν συμπεριληφθεί η ημέρα Fujiwhara τον Ιούλιο, τρεις ημέρες θα αντιστοιχούσαν στο 10,5% όλων των τρωτών σημείων του 2020. Επιπλέον, αντί αυτό να βοηθήσει τους επαγγελματίες IT, έχει ακριβώς τα αντίθετα αποτελέσματα, ενώ την ίδια στιγμή δίνει στους κακόβουλους παράγοντες μία πληθώρα ευπαθειών που κυκλοφόρησαν πρόσφατα, για να τις εκμεταλλευτούν όλες την ίδια ημέρα. Η έκθεση πρόσθεσε ακόμη ότι οι πωλητές software μπορεί να δουν αυτές τις ημέρες Fujiwhara ως έναν τρόπο να κρύψουν τις ευπάθειές τους μέσα στο χάος εκατοντάδων άλλων τρωτών σημείων.
Κατά το δεύτερο τρίμηνο του 2020, η Microsoft είδε μια αύξηση των ευπαθειών κατά 150%, σε σύγκριση με την ίδια περίοδο πέρυσι, με 762 αποκαλύψεις. Ο αριθμός είναι πολύ υψηλότερος από κάθε άλλο προμηθευτή, συμπεριλαμβανομένων των Oracle και Linux / Red Hat. Η Oracle είχε συνολικά 612 ευπάθειες, 420 εκ των οποίων προέρχονταν από τα δύο Fujiwhara events. Οι υψηλοί αριθμοί της Microsoft οφείλονται στα Windows 10. Αλλά δεν είναι μόνο τα Windows 10. Διαφορετικές εκδόσεις των Windows εμφανίζονται στη λίστα τέσσερις φορές. Οι οργανισμοί που βασίζονται σε μεγάλο βαθμό στα προϊόντα της Microsoft ή της Oracle, θα αναγκαστούν να κάνουν πολλές φορές δοκιμές και να αξιολογήσουν μεγάλο αριθμό ζητημάτων.
Η έκθεση σημείωσε επίσης ότι οι συσκευές Google Pixel / Nexus εμφανίστηκαν στη λίστα με 314 ευπάθειες, οδηγώντας τους ερευνητές να γράψουν ότι οι κινητές συσκευές ενδέχεται να είναι πιο ευάλωτες σε επιθέσεις από το desktop σύστημα.
Δεδομένου του τεράστιου όγκου των ευπαθειών που αποκαλύπτονται, οι οργανισμοί που βασίζονται στο CVE / NVD θα αγωνιστούν να βρουν γρήγορη και αποτελεσματική λύση για την αντιμετώπισή τους. Τέλος, οι οργανισμοί αυξάνουν τον δικό τους κίνδυνο, στηριζόμενοι στο CVE για να παρέχουν πλήρη και έγκαιρα δεδομένα. Το τρέχον επίπεδο αποκάλυψης ευπαθειών που αντιμετωπίζουν οι οργανισμοί σε καθημερινή βάση είναι κάτι περισσότερο από αυτό που το CVE που μπορεί να χειριστεί.
